Een medewerker van een Israëlisch beveiligingsbedrijf misbruikte hacktools

Motherboard heeft ontdekt dat een werknemer van het Israëlische surveillancebedrijf NSO Group misbruik heeft gemaakt van de hacktool van zijn werkgever, om in te kunnen breken in de telefoon van een vrouw die hij wel zag zitten.

Het is niet de eerste keer dat er misbruik wordt gemaakt van de producten van NSO, die normaal gesproken gebruikt worden door wetshandhavingsinstanties en inlichtingendiensten. Het laat ook zien dat krachtige surveillancetechnologie, zoals die van NSO, uiteindelijk altijd misbruikt kan worden door de mensen die erbij kunnen.

“Er bestaat geen manier om daar iets tegen te doen,” zegt een voormalige NSO-werknemer tegen Motherboard. “Er zullen altijd mensen zijn die er toegang toe hebben.” Een andere voormalige NSO-werknemer bevestigde dat, een derde bron die bekend is met het bedrijf bevestigde het deels, en een vierde vertelde over de NSO-werknemer die het systeem van het bedrijf misbruikte. Motherboard liet meerdere bronnen voor dit verhaal anoniem aan het woord, zodat ze vrijuit konden praten over hoe hier binnen NSO mee om wordt gegaan, en zodat het bedrijf daar geen consequenties aan kon verbinden.

NSO verkoopt onder andere de spyware Pegasus aan overheden. Met Pegasus kan je op afstand inbreken bij iPhone- of Android-toestellen, door gebruikers op een bepaalde link te laten klikken, of zelfs dat niet eens. Pegasus maakt gebruik van zero-day-attacks, wat inhoudt dat ze profiteren van zwakke plekken in software waar de ontwikkelaars zich niet bewust van zijn.

Als er eenmaal is ingebroken, kan Pegasus niet alleen de locatie van het doelwit achterhalen, maar ook tekstberichten, e-mails, social media, foto’s en video’s inzien, en zelfs de camera en microfoon aanzetten. Onderzoekers zagen eerder al dat Pegasus werd gebruikt in Saoedi-Arabië, de Verenigde Arabische Emiraten (VAE), Mexico en nog tientallen andere landen. NSO zegt dat de tool uitsluitend gebruikt mag worden om terrorisme of zware criminaliteit mee te bestrijden, maar onderzoekers, journalisten en techbedrijven hebben meerdere situaties gezien waarbij NSO-klanten het ook gebruiken om dissidenten en politieke tegenstanders te bespioneren. David Kaye, de VN-rapporteur voor de bevordering en bescherming van de rechten op vrijheid van mening en meningsuiting, zei vorig jaar ook al dat Pegasus een “schadelijke erfenis” met zich meebrengt.

Dit is echter weer een heel ander geval. In plaats van dat de tool door een overheid of inlichtingendienst wordt gebruikt, heeft een NSO-werknemer er misbruik van gemaakt voor zijn eigen gewin.

Een aantal jaar geleden ging een toenmalig NSO-werknemer op werkreis naar de VAE, vertelt een van de bronnen, die zelf op dat moment ook werkzaam was bij NSO. De werknemer moest “ondersteuning ter plaatse” bieden, zegt een tweede voormalige werknemer. Terwijl hij op locatie was, brak de werknemer in op het kantoor van de klant, die vervolgens een signaal binnenkreeg dat iemand buiten werktijd had ingelogd in het systeem van Pegasus, aldus een van de twee bronnen die bekend zijn met het incident. De klant greep vervolgens in, waarop de NSO-werknemer werd aangehouden, zeggen twee bronnen.

“De klant was behoorlijk pissig,” zegt de eerste voormalige werknemer.

“Hij gebruikte het systeem toen niemand oplette,” voegt de tweede werknemer toe. Voor de klant is het Pegasus-systeem eenvoudig te gebruiken; soms hoeft een gebruiker alleen maar het telefoonnummer van het doelwit in te typen en begint het proces om in te breken automatisch.

Het doelwit was een vrouw die de werknemer persoonlijk kende, zeggen de bronnen. De NSO ontsloeg hem, en de top van het bedrijf organiseerde bijeenkomst om alle medewerkers over het incident in te lichten, zodat het niet nog een keer zou gebeuren.

“Ze treden streng op tegen misbruik van het systeem,” zegt een van de voormalige NSO-werknemers tegen Motherboard.

Twee bronnen zeggen dat het incident heeft plaatsgevonden in 2016, toen NSO grotendeels in bezit was van het Amerikaanse investeringsbedrijf Francisco Partners. In februari 2019 kochten de oprichters van NSO hun bedrijf weer terug.

De bronnen vertelden niet welke inlichtingendienst van de VAE de klant was. Het zouden er drie kunnen zijn: de Staatsveiligheid van de VAE, de Signals Intelligence Agency (SIA) en de Militaire Inlichtingen- en Veiligheidsdienst.

De ambassade van de VAE in Washington gaf geen gehoor aan ons verzoek tot commentaar. NSO wilde niet on the record ingaan op het incident.

In de securitywereld is NSO al jaren een bekende naam, maar voor het grote publiek gebeurde dat pas nadat het zijn hacktools aan Saoedi-Arabië had verkocht, waar het gebruikt werd om in te breken in de telefoons van politieke dissidenten, onder wie contacten van de Washington Post-columnist Jamal Khashoggi. De CIA vermoedt ook dat Saoedi-Arabië achter de moord op Khashoggi in 2018 zit.

Eva Galperin is de directeur cyberbeveiliging bij de Electronic Frontier Foundation (EFF), en heeft veel onderzoek gedaan naar hackaanvallen van overheden, maar ook naar hoe partners malware gebruiken om hun echtgenoot te bespieden. “Het is goed om bewijs te zien dat NSO Group zijn best doet om te voorkomen dat zijn surveillanceproducten ongeautoriseerd gebruikt worden – en met ‘ongeautoriseerd’ bedoel ik dan ‘onbetaald’. Ik zou alleen ook graag willen dat er bewijs is dat het ze net zo belangrijk vinden wanneer hun producten gebruikt worden om mensenrechten te schenden,” vertelt ze aan Motherboard.

“Je kunt je afvragen wie hier nog meer het doelwit van is geweest,” zegt John Scott Railton, een senior onderzoeker van het Citizen Lab van de Universiteit van Toronto, dat uitgebreid onderzoek heeft gedaan naar NSO. “Het wijst er ook op dat NSO, zoals wel meer bedrijven, met onprofessionele werknemers worstelt. Het is een eng idee dat zulke mensen NSA-achtige hacktools kunnen gebruiken,” zegt hij.

NSO heeft herhaaldelijk benadrukt niks te maken te hebben met telefoonhacks in het algemeen – het zou alleen maar die mogelijkheid faciliteren voor zijn klanten. Dit soort misbruik is echter “vernietigend voor de beweringen van NSO dat het geen hackaanvallen uit kan voeren. Het bewijst dat zijn werknemers wel degelijk illegaal en zonder toezicht hacken,” voegt Railton toe. Eerder schreef Motherboard al over hoe NSO klanten helpt om effectieve phishingberichten te ontwikkelen, die volledig afgestemd zijn op het doelwit om de kans op een succesvolle malware-infectie zo groot mogelijk te maken.

VN-rapporteur Kaye riep eerder al dat er een wereldwijde stop moet komen op het exporteren van hacktechnologie voordat er meer reguleringen worden ingevoerd. Hij zegt tegen Motherboard dat dit incident een aantal vragen oproept met betrekking tot NSO.

“Hoe kan een werknemer überhaupt in de gelegenheid komen om dit te doen?” zegt hij. Ook vraagt hij zich af of er niet nog veel meer misbruik heeft plaatsgevonden.

Na dit incident stelde NSO in dat “mensen die met klanten in contact komen strenger gescreend worden”, aldus een van de voormalige werknemers. Dat houdt onder andere in dat er biometrische controles plaatsvinden, zodat alleen geautoriseerde personen in staat zijn om het systeem te gebruiken, aldus een bron die bekend is met de gebeurtenis.

In dit specifieke geval werd de werknemer betrapt terwijl hij misbruik van de tool maakte. “Maar technisch gezien was er ook niks dat mij tegen had kunnen houden om het hele systeem te gebruiken tegen wie ik maar wilde,” zegt de voormalige werknemer tegen Motherboard.

NSO zit momenteel in een rechtszaak verwikkeld met Facebook, dat het bedrijf aanklaagde omdat het gebruik zou hebben gemaakt van een kwetsbaarheid in WhatsApp, zodat klanten op afstand telefoons konden hacken door alleen maar het juiste nummer te bellen. Het bedrijf heeft ook een technologie ontwikkeld waarmee de verspreiding van COVID-19 kan worden bijgehouden, maar privacydeskundigen zijn bezorgd over hoe dit systeem in elkaar zit.

Ook werknemers van overheidsdiensten die toegang hebben tot surveillancebevoegdheden hebben hun posities misbruikt. In 2013 schreef Wall Street Journal dat NSA-agenten meerdere keren misbruik maakten van spionagecapaciteiten om andere mensen te begluren.

In de VAE hebben ook controversiële zaken rondom het gebruik van krachtige hacktechnologgie plaatsgevonden. Reuters publiceerde meerdere onderzoeken over Project Raven, een operatie waarbij voormalige Amerikaanse NSA-hackers naar de VAE verhuisden en samen voor dit land gingen hacken. Sommige leden zouden uiteindelijk ook Amerikaanse burgers hebben aangevallen met hun tools. Ook schreef Reuters dat de FBI al minstens drie jaar onderzoekt hoe Amerikaanse burgers en bedrijven worden aangevallen met malware van NSO.

Nog veel meer techbedrijven kampen met werknemers die misbruik maken van hun toegang tot gegevens en tools. Motherboard onthulde eerder al hoe Facebook medewerkers ontsloeg omdat ze mensen stalkten door gebruik te maken van hun exclusieve toegang tot persoonsgegevens. Soortgelijke incidenten vonden ook plaats bij MySpace en Snapchat.

Dit artikel verscheen oorspronkelijk op VICE US.